신원 도용으로 SharePoint를 노리는 Helix vishing 그룹, 기업 협업 환경의 새로운 위협

신원 도용형 공격 그룹 Helix가 SharePoint 환경을 겨냥한 데이터 갈취(data-extortion) 활동을 본격화하면서, 협업 플랫폼 보안의 새로운 위험 신호가 켜졌습니다. 음성 피싱(vishing), 디바이스 코드 피싱, 다중 인증(MFA) 우회 기법을 조합한 공격은 전통적인 악성코드 기반 침해와는 다른 정교한 사회공학적 접근이 특징입니다. 본문에서는 Helix의 등장과 함께 기업 Microsoft 365 환경에서 즉시 점검해야 할 통제 항목을 정리합니다.

핵심 요약

  • Helix는 vishing, device code phishing, MFA abuse를 결합한 신원 중심 공격 그룹으로 SharePoint 데이터 탈취를 수행합니다.
  • 주된 침투 경로는 사용자 신원 도용 및 OAuth 인증 흐름 악용이며, 전통적 악성코드 의존도가 낮습니다.
  • 기업은 조건부 접근 정책 강화, MFA 재설계, 비정상 로그인 탐지 등 신원 기반 보안 통제 재정비가 시급합니다.

협업 플랫폼 시대의 보안은 ‘신원 보안 곧 데이터 보안’이라는 관점으로 전환되어야 합니다.

Helix 그룹의 등장 배경과 개요

신원 중심 공격 트렌드의 진화

최근 1~2년간 랜섬웨어 운영자 및 초기 침투 브로커(IAB)들은 파일리스(file-less) 침투 기법을 빠르게 수용해 왔습니다. 특히 Microsoft 365, Google Workspace 등 SaaS 기반 협업 도구를 노리는 신원 도용형 공격이 꾸준히 증가해 왔으며, vishing과 device code phishing을 결합한 사례가 여러 보고서에서 관측되었습니다. Helix는 이러한 흐름을 대표하는 신규 데이터 갈취 그룹으로 부상한 것으로 분석됩니다.

Helix가 주목받는 이유

Bleeping Computer의 2026년 7월 9일 보도에 따르면, Helix는 단순히 자격증명을 훔치는 데 그치지 않고, 탈취한 세션과 디바이스 코드 토큰을 활용해 SharePoint 문서 라이브러리, 리스트, OneDrive 연동 자산을 직접 탐색하고 유출하는 것으로 보고됩니다. 이는 전통적인 데이터 유출(data exfiltration) 공격보다 한 단계 더 정교한 ‘인증 후 사후 활동(post-authentication abuse)’이 핵심이라는 점에서 보안 운영팀의 경계 수준을 한 단계 끌어올려야 할 사안으로 평가됩니다.

주요 공격 기법 분석 (TTP)

Vishing: 콜센터를 사칭한 음성 피싱

Helix는 사전에 수집한 직원 명부 또는 LinkedIn, 조직도 공개 정보를 바탕으로 IT 헬프데스크 또는 콜센터 담당자를 사칭해 사용자에게 전화를 겁니다. 이때 ‘계정 잠금’, ‘MFA 재설정’, ‘비정상 로그인 확인’ 같은 긴급한 사유를 활용해 사용자가 자발적으로 디바이스 코드를 발급하거나 일회용 코드를 공유하도록 유도합니다. 통화 자체가 일종의 ‘인간 인증(human verification)’ 역할을 수행하므로 기술적 탐지를 우회하기 쉬운 것이 특징입니다.

Device Code Phishing: OAuth 인증 흐름 악용

디바이스 코드 피싱은 Microsoft Entra ID(구 Azure AD)의 디바이스 코드 인증 흐름을 악용한 기법입니다. 공격자는 정상적인 클라이언트 ID와 디바이스 코드를 피싱 페이지에 표시하고, 피해자가 회사 계정으로 로그인하면 공격자가 미리 준비한 디바이스에 인증 토큰이 발급됩니다. Helix는 이 토큰을 Refresh Token으로 장기화해 다중 로그인 없이도 SharePoint에 반복 접근하는 것으로 보입니다.

MFA 우회와 세션 하이재킹

단순 문자 SMS 기반 MFA, 푸시 승인 fatigue(과다 승인 요청 피로), 그리고 디바이스 신뢰(marked as compliant) 흐름이 결합되면 MFA는 사실상 무력화됩니다. Helix는 인증이 완료된 세션 쿠키와 토큰을 가로채는 ‘세션 하이재킹(session hijacking)’을 통해 실제 사용자 로그인처럼 행동하며, IP 기반 비정상 로그인 탐지를 회피하는 것으로 분석됩니다.

SharePoint 환경의 노출 위험과 영향 범위

공격자가 노리는 SharePoint 데이터 자산

  • 기밀 문서 라이브러리: 계약서, M&A 자료, 재무 보고서, 인사 발령안 등 외부 공유 권한이 과도하게 부여된 문서
  • Teams 연동 파일: Teams 채널에 저장된 첨부파일 및 SharePoint 탭 문서, 메타데이터
  • OneDrive 동기 폴더: 개인 드라이브 동기화 경로상의 설계도, 소스코드, 고객 DB
  • Power Automate / Power Apps 토큰: 워크플로우 연결 자격증명을 통한 간접 데이터 접근

확산 시나리오 및 랜섬웨어·이중갈취 연계 가능성

SharePoint에서 탈취한 데이터는 이후 외부 유출 사이트에 공개를 위협하는 ‘이중 갈취(double extortion)’ 또는 ‘다중 갈취(multi-extortion)’의 수단으로 활용될 가능성이 높습니다. Helix 같은 그룹은 단순 데이터 공개에 그치지 않고, 랜섬웨어 운영자 또는 IAB에 액세스 권한을 판매하는 역할도 수행하는 것으로 보입니다. 즉, 한 번의 신원 침해가 클라우드 환경 전반과 온프레미스 시스템으로 이어지는 ‘사이드 체인(side-chain)’ 침투로 번질 수 있습니다.

기업의 탐지·대응 강화 방안

신원·인증 기반 통제 재설계

  • 조건부 접근 정책: 국가/지역, 디바이스 규정 준수, 로그인 위험 신호를 결합한 다중 조건 정책 적용
  • Phishing-resistant MFA: FIDO2, Windows Hello for Business, 인증서 기반 로그인 도입으로 디바이스 코드 피싱 저항성 강화
  • Refresh Token 수명 단축: 토큰 회전(token rotation) 및 세션 바인딩(conditional token lifetime) 정책 강화
  • 디바이스 신뢰 최소 권한화: ‘marked as compliant’ 디바이스라 하더라도 SharePoint 권한 재검증 주기 설정

사용자 인식 제고 및 피싱 신고 체계

기술적 통제만으로는 vishing 단계의 ‘인간 인증’을 차단하기 어렵습니다. 헬프데스크와 일반 사용자 모두에게 ‘절대 전화로 MFA 코드를 공유하지 않는다’, ‘디바이스 코드를 외부 사이트에 입력하지 않는다’는 원칙을 정기적으로 교육해야 합니다. 또한 의심 통화 발생 시 즉시 보안팀으로 연결되는 단일 신고 채널(예: 전용 핫라인, Teams 채널)을 마련해 평균 탐지 시간(MTTD)을 단축해야 합니다.

Microsoft 365 보안 권고 사항

  • Microsoft Entra ID Protection의 ‘risk-based sign-in’ 정책 활성화 및 ‘user risk: high’ 차단 설정
  • Unified Audit Log 및 Microsoft Purview Audit에서 ‘Add OAuth2 permission grant’ 이벤트 상시 모니터링
  • SharePoint 외부 공유 링크 감사: ‘Anyone’ 링크 및 ‘specific people’ 링크의 주기적 정리
  • Defender for Cloud Apps에서 비정상 다운로드 패턴(예: 평소 대비 5배 이상) 경보 룰 구성
공격 단계 주요 TTP 권장 통제
1. 초기 접촉 vishing (콜센터 사칭) 사용자 교육 + 신고 체계
2. 인증 유도 device code phishing, MFA 피싱 Phishing-resistant MFA
3. 세션 확보 Refresh Token 탈취, 세션 하이재킹 토큰 수명 단축, 토큰 바인딩
4. 데이터 접근 SharePoint/OneDrive 직접 열람 조건부 접근, 권한 최소화
5. 유출 및 갈취 대량 다운로드, 외부 전송 다운로드 볼륨 탐지, DLP 정책

결론: 협업 플랫폼 시대의 새로운 보안 패러다임

Helix 사례는 ‘침입이 아니라 신원을 훔친다’는 클라우드 시대 공격의 본질을 명확히 보여줍니다. SharePoint 같은 협업 플랫폼은 그 자체가 업무의 중심축이며, 곧 데이터의 중심축이기 때문에 신원 침해의 임팩트가 과거 파일 서버 침해보다 훨씬 광범위합니다. Zero Trust 원칙에 기반해 ‘항상 검증(verify explicitly)’, ‘최소 권한(least privilege)’, ‘침해 가정(assume breach)’을 일관되게 적용하고, 특히 인증 흐름과 토큰 수명 통제를 다시 한 번 점검해야 할 시점입니다. 단기적으로는 device code phishing 차단과 MFA 강화가, 중장기적으로는 신원 위협 인텔리전스 기반의 선제적 탐지 체계가 핵심 대응 축이 될 것입니다.

실무 핵심 체크포인트

  • Microsoft Entra ID에서 디바이스 코드 흐름을 완전히 비활성화하거나 강력히 제한했는가
  • FIDO2 등 phishing-resistant MFA를 전사 사용자 및 외부 협력사에 확대 적용했는가
  • Refresh Token 수명 및 토큰 회전 정책이 위험 기반 조건부 접근과 연동되어 있는가
  • SharePoint ‘Anyone’ 외부 공유 링크를 주기적으로 감사하고 자동 만료 정책을 적용하고 있는가
  • vishing 의심 신고 시 평균 30분 이내 보안팀 에스컬레이션이 가능한 단일 채널이 존재하는가
  • Defender for Cloud Apps에서 비정상 다운로드 및 OAuth 권한 부여 이벤트 룰이 운영되고 있는가
  • 헬프데스크 대상 ‘전화 기반 MFA 재설정 거부’ 정책과 운영 절차가 문서화되어 있는가

참고 자료: Bleeping Computer – New Helix vishing group emerges in SharePoint data theft attacks, The Hacker News – ThreatsDay: Cloud Bucket Hijacking

#Helix #vishing #device code phishing #MFA abuse #SharePoint #Microsoft365 #dataextortion #socialengineering #identitybasedattack #ZeroTrust #조건부접근 #OAuth남용 #세션하이재킹 #협업플랫폼보안

댓글 남기기